Asociaciones público-privadas en seguridad de software de código abierto, y la industria tecnológica lo acoge con satisfacción

La semana pasada, la Casa Blanca celebró una reunión para mejorar la seguridad del software de código abierto. Se invitó a los principales usuarios públicos y privados y al personal de mantenimiento relacionado con el software de fuente abierta. La Casa Blanca dijo que el software de código abierto ampliamente utilizado “brinda un valor intrínseco, pero también presenta problemas de seguridad con el uso generalizado y la participación de muchos voluntarios responsables de mantener la seguridad en curso”.
ⓒ Banco de imágenes Getty

La reunión se organizó en diciembre del año pasado, justo después de que se descubriera una vulnerabilidad peligrosa en Log4j, una utilidad de registro basada en Java. Esta vulnerabilidad fácil de explotar expuso a cientos de millones de dispositivos en todo el mundo al riesgo de un posible compromiso. El FBI, la NSA y la Agencia de Infraestructura y Seguridad Cibernética (CISA) definieron rápidamente la falla de Log4j como una “amenaza para los gobiernos y las empresas en todas partes”. “El software de código abierto es una preocupación nacional importante para la seguridad”, dijo Jake Sullivan, asesor de seguridad nacional, al invitar al pionero tecnológico a la conferencia.

A la reunión asistieron varios ministerios y agencias gubernamentales, entre ellos Anne Neuberger, Asesora de Seguridad Nacional para Cibernética y Nuevas Tecnologías, Chris Inglis, Director Nacional Cibernético, Director Nacional Cibernético y representantes de CISA y el Instituto Nacional de Estándares y Tecnología (NIST). En el sector privado participaron ejecutivos y dignatarios de Akamai, Amazon, Apache Software Foundation, Apple, Cloudflare, Meta, GitHub, Google, IBM, Linux Foundation, OpenSSF, Microsoft, Oracle y Red Hat. hizo.

Según la Casa Blanca, en la reunión se discutieron tres puntos:

  • Prevención de fallas de seguridad y vulnerabilidades en código fuente abierto y paquetes
  • Mejorar el proceso de búsqueda y reparación de fallas de software de código abierto
  • Reducción del tiempo de respuesta para el despliegue y la implementación de arreglos

En el primer tema, los asistentes discutieron cómo facilitar a los desarrolladores la escritura de código seguro integrando la firma de código e identidades digitales más sólidas en la infraestructura y las herramientas de desarrollo utilizadas para crear, almacenar e implementar código.

Se discutió la priorización y el mantenimiento de las categorías de proyectos que más importan en relación con la mejora del proceso de detección y reparación de defectos. También hablamos sobre cómo acelerar y mejorar el uso de la Lista de materiales del software (SBOM) para reducir los tiempos de respuesta y corrección, lo que facilita ver qué componentes se incluyen en el software.

En una conferencia de prensa posterior a la reunión, Sullivan dijo: “Tuvimos una discusión muy constructiva sobre cómo los sectores público y privado podrían trabajar de manera efectiva para hacer que los sistemas de los sectores público y privado sean más sólidos y resistentes”.

Sullivan también destacó los esfuerzos de la Casa Blanca para abordar los problemas de seguridad del software de fuente abierta. En mayo del año pasado, el presidente emitió una orden ejecutiva al NIST para preparar pautas para fortalecer la seguridad de la cadena de suministro de software. De acuerdo con la EO, las pautas del NIST deben incluir estándares, procedimientos o criterios para verificar y atestiguar y verificar la integridad y el origen del software de código abierto utilizado en todas las partes de un producto. En octubre pasado, el NIST publicó un borrador de directrices.

EO ha ordenado a la Administración Nacional de Telecomunicaciones e Información (NTIA), parte del Departamento de Comercio, que publique elementos mínimos para SBOM. La NTIA publicó un documento que contiene estos elementos en julio del año pasado.

La nueva propuesta de seguridad de código abierto de Google

Los asistentes de la industria que salieron de la reunión en la Casa Blanca expresaron su apoyo para fortalecer la cooperación con el gobierno. Después de la reunión, el director legal de Alphabet, Kent Walker, compartió algunas propuestas para un nuevo modelo de colaboración para proteger el software de código abierto.

Primero, cree asociaciones público-privadas para crear y mantener una lista de proyectos clave de código abierto. Los criterios para seleccionar un proyecto central son el impacto y la importancia del proyecto. En segundo lugar, el gobierno y la industria trabajan juntos para establecer estándares de seguridad, mantenimiento, verificación de origen y pruebas. La clave aquí son los ciclos de actualización cortos, las pruebas continuas y la integridad verificada.

En tercer lugar, “El objetivo es formar una organización que sirva como mercado para el mantenimiento de código abierto y conecte a los voluntarios corporativos con los proyectos centrales que necesitan la mayor cantidad de mano de obra. Google ya ha donado recursos, pero dice que está listo para proporcionar más recursos para estos esfuerzos.

La industria de la tecnología da la bienvenida al liderazgo del gobierno

Otros participantes del sector privado también coincidieron en la necesidad de trabajar con los gobiernos para fortalecer la seguridad del software de fuente abierta. “Cuando la seguridad de un componente o aplicación de código abierto ampliamente utilizado se ve comprometida, todas las empresas, países y comunidades se ven afectadas”, dijo Jim Zemlin, director ejecutivo de Linux Foundation. Damos la bienvenida al liderazgo del gobierno de EE. UU. para fortalecer la seguridad del software de código abierto y estamos listos para trabajar con los ecosistemas de todo el mundo para realizar mejoras. En particular, OpenSSF es una iniciativa clave de la Fundación Linux para abordar los grandes desafíos de la cadena de suministro de software de código abierto, y es muy alentador que otros asistentes a la conferencia reconozcan este esfuerzo y apoyen a OpenSSF como base para futuras colaboraciones”. dicho.

Brian Belendoff, director ejecutivo de OpenSSF, también dijo: “El ecosistema de código abierto debe trabajar en conjunto para mejorar aún más la investigación, la educación, el análisis y la reparación de fallas en seguridad cibernética que se encuentran en los principales proyectos de software de código abierto. Los comentarios sobre los planes discutidos en la reunión de la Casa Blanca son positivos y existe un esfuerzo colectivo cada vez mayor para tomar medidas significativas. “La reciente crisis de Log4j ha hecho que la necesidad de colaboración público-privada sea más urgente que nunca para implementar el más alto nivel de integridad de ciberseguridad para los componentes de software de código abierto y las cadenas de suministro de software por las que viajan”.

Mike Henry, CSO de GitHub, dijo: “La solución de problemas de seguridad de la cadena de suministro de software es, en última instancia, un trabajo en equipo. Las asociaciones con gobiernos, instituciones académicas, desarrolladores y otras empresas pueden tener un impacto significativo en el futuro de la seguridad del software. Esta reunión es un paso importante para asegurar todo el código del mundo”.

“Los gobiernos y la industria deberían priorizar la inversión en herramientas y tecnologías que amplíen los horizontes del uso del código abierto”, dijo Akamai. Su mejor apuesta es utilizar herramientas automatizadas. Apoyamos la propiedad pública y privada sólida de las bibliotecas centrales de código abierto y la gestión de vulnerabilidades”.

La Fundación Apache dijo que la reunión de la Casa Blanca fue un buen comienzo para ayudar a promover una respuesta más amplia a las necesidades de seguridad del software de fuente abierta. “Red Hat está listo para trabajar con los gobiernos y muchas otras organizaciones en la próxima fase, y continuará enfocándose en apoyar a nuestros clientes y fortalecer la seguridad del ecosistema de código abierto”, dijo Red Hat. [email protected]


Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!